注目の集まるSNI導入の必要性とは
SSL/TLSの拡張仕様の1つであるSNI(Server Name Indication)に注目が集まっています。 これまでは「1台のサーバ(グローバルIPアドレス)につきSSL証明書は1ドメイン」でしたが、SNIを利用すれば、「1台のサーバで異なる証明書」を使い分けることができるようになります。 それでは、SNIの利用方法やその必要性について確認していきましょう。 SNI(Server Name Indication)とは何だろう? SSL/TLSでは「同じサーバ(同じグローバルIPアドレスを利用する複数のユーザ)は1つのSSLサーバ証明書しか使えない」のが基本です。そのため、このままだと不便な場合もあります。 たとえばレンタルサーバサービスを例として考えると、「同じサーバを複数のユーザが利用し、なおかつユーザごとに異なるドメインを利用する」という場合もあるでしょう(名前ベースバーチャル
SNIで1台のサーバ上に複数のSSLサイトを運用 – 後編 | さくらのナレッジ
前回は、SNI(Server Name Indication)の技術的な概要と、その特徴について説明を行いました。 後編である今回は、新たにSNIに対応したさくらのレンタルサーバー スタンダードプランを利用して、実際にSNIを利用した独自ドメインのSSLの設定を行ってみたいと思います。 従来のさくらのレンタルサーバでは、独自SSL(IPアドレスベース)は、ビジネスプロプラン以上でのみ対応しており、1契約で1つのSSLサイトを運用できました。 それが、[今回のSNI SSL対応](http://www.sakura.ad.jp/function/security/original-ssl.html)により、スタンダードプラン1つで複数のSSLサイトを運用できるようになりました。 最安で月額515円から始められサーバプラン料金が抑えられることに加え、1サーバプランで複数のSSLサイトを運用でき
SNIで1台のサーバ上に複数のSSLサイトを運用 – 前編 | さくらのナレッジ
ご無沙汰しております。細羽です。 昨年、AndroidにおけるSNI対応状況という記事で、SSL/TLSの拡張仕様であるSNI(Server Name Indication)について触れました。 少しニッチなテーマだと思っていましたが、つい先日、さくらのレンタルサーバでSNI SSLを提供開始というプレスリリースが発表されました。広いサービスでSSL/TLS導入への需要が高まっている今、このような事例は今後増えていくものと考えられます。 そこで本記事では、重要度が高まっているSNIについて、その技術の概要を改めて理解し、実際の運用に役立てられるように整理をしたいと思います。 知識の整理を目的にした前編と、実践を目的にした後編の2部構成でお届けします。 以下が前編の内容です。 SNIで何が出来るようになるのか SNIで複数ドメインが運用可能になるまで SNIが重要になりつつある背景 SSL運
Server Name Indication - Wikipedia
Server Name Indication(SNI、サーバー ネーム インディケーション、サーバ名表示)は、SSL/TLSの拡張仕様の一つである。SSLハンドシェイク時にクライアントがアクセスしたいホスト名を伝えることで、サーバ側がグローバルIPごとではなくホスト名によって異なる証明書を使い分けることを可能にする。 SNIは特に、HTTP 1.1の名前ベースバーチャルホストをHTTPSに対応させるために使われる。SNIを機能させるには、Webサーバ側とブラウザ側両面の対応が必要である。SNIを実装しないブラウザでは全てのホスト名で同じサーバ証明書が使われるため、警告が表示されることがある。2016年時点でPC・モバイルの主要なブラウザで問題なく利用できる状況である。 SSL/TLS接続のはじめに、クライアントはSSL/TLSのサーバから(サーバとCAの)証明書を受け取り、証明書の改ざんさ
PostfixのTLS実装ってSNI対応してないのね… - y-kawazの日記
追記あり、解決したんで最後まで読んでね。 最近いくつかのドメインでSSLサーバ証明書を取ったので折角なのでPostfixにも設定してみようと思ったのが始まりで、改めて TLS_README とかを見ながらマルチホスト名のSSL設定方法を探してみたんだがどうにも見つからないぞ? 通常のTLS利用次に行う smtpd_tls_cert_file や smtpd_tls_key_file の設定項目に対して、smtpd_tls_key_file_mapsやsmtpd_tls_key_file_mapsとかがあるんじゃないかと思ってたんだがどうにも見当たらない。smtp_tls_per_site とかsmtp_tls_policy_mapsとかsmtp_tls_fingerprint_cert_matchとか何かそれっぽい名前の設定項目も見つけたが、どうやらこれらは接続先の証明書の妥当性チェックの
SSL/TLS で Namebase のバーチャルホスト
このスライドについて 2008 年 7 月 12 日の第 15 回まっちゃ 139 勉強会のライトニングトークで発表した (出来なかった :-p) 資料です. (予想通り? :-p) 内容以上に質問のあったこのスライドで使っているソフトについて. W3C の HTML Slidy で作成しています. 他にも似たようなもっと高機能なツールで S5 とか S6 とかありますね. 使い方 普通のプレゼンソフト的にスペースとか←→キー,マウスクリックでページ遷移します. "F11" で全画面表示します.ただし,Mac OS X では,ブラウザが全画面表示をサポートしてない模様です (Safari, Firefox). "c" でメニューが開きます. "a" でページめくりなしで全ページ表示になります. "s", "b" フォントサイズ変更. 印刷すると,一枚一スライドになるみたいです.今回の資料は
qmail はオワコン - どさにっき
2011年2月1日(火) ■ ちょっとトイレットペーパー買い占めてくる _ 一般向けの記事も出てるぐらいなんで別にいまさら書く必要もない気がせんでもないが、自分が後で思い出したくなったときのためにメモ。 _ ipv4 がめでたく売り切れました。厳密にはまだ /8 が5個残ってるけど、これは RIR に自動的に分配される分なので、おばちゃんおかわり、と言ってもごめんねーごはんもうないんだわ、となる。 _ 最後のおかわりは、大方の予想どおり APNIC に2ブロック。この APNIC の在庫も年内には枯渇するはず。ほとんど中国が使っちゃうのかなー。 _ 2003年8月の記事。 RIR exhaustion of the unallocated address pool would occur in 2022. 2003年の時点で、RIR の枯渇が2022年の予想。文中では言及されてないけど、
仙石浩明の日記: stone に Server Name Indication (TLS 拡張) 機能を実装
このハンドシェークの後、 クライアントが暗号化された http リクエストを送信し、 それを受けてサーバが暗号化されたレスポンスを返す。 https サーバがバーチャルドメイン機能を持つには、 https サーバがサーバ証明書を送信する (上のハンドシェーク図の 3行目) より前に、 クライアントがリクエストしたいホスト名を通知する必要がある。 上図から明らかなように、 ホスト名の通知は一番最初の「ClientHello」で行なわれなければならず、 そのための拡張が、 「Server Name Indication」というわけである。 もちろんこの時点では、まだ鍵の交換は行なわれていないので、 ホスト名は平文で送られる。 前置きが長くなってしまったが、 この Server Name Indication (SNI) を stone でサポートしてみた (stone.c Revision 2
Apacheの設定を変更し、単一IPアドレス上で複数のSSLサイトを運用する - builder by ZDNet Japan
Apacheのバージョン2.2.12以降では、SNI(Server Name Indication)という、SSLプロトコルに対する拡張機能がサポートされているため、名前ベースのHTTPサイトを設定する場合と同じように名前ベースのHTTPSサイトを設定することが可能になっている。本記事では、Apacheのこの機能について紹介する。 Apache Webサーバがバージョンアップし、成熟していくに伴い、新機能の追加やバグの修正が行われてきている。そして、バージョン2.2.12で追加された機能のうち、最も重要なものはおそらく、単一IPアドレス上で複数のSSLサイトを運用できるようにするという、長らく持ち望まれていた機能だろう。 これまでは、特定のIPアドレスに対してSSL対応のWebサイトを割り当てた場合、そのサイト1つしかSSL対応のWebサイトを運用することができなかった。つまり、IPアドレ
Takayuki Nakamura's blog: 名前ベースのVirtualHostでそれぞれのSSLサーバ証明書を使う
2007年7月4日 名前ベースのVirtualHostでそれぞれのSSLサーバ証明書を使う #なんだかんだしてたら、半月経ってしまった #来週になったら、ちゃんと再開 『Name-based SSL virtual hosts』 より 名前ベースのVirtualHostでSSLを使う場合、以下の方法をとれば、それぞれのVirtualHostごとの証明書を使うことができます。 ワイルドカード証明書を使うCN=*.example.com という設定の証明書を使えば、www1.example.com と www2.example.com で共通のサーバ証明書を使うことができます。 subjectAltNameを使う 証明書の subjectAltName に別名としてVirtualHostのDNS名を書いておきます。サーバにセットする証明書は1つですが、証明書内の別名をチェックすることで、「証明
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
SSL証明書取得のススメ
[Apache-SVN] Revision 776281